Llegamos a ustedes gracias a:



Noticias

Presentan reglamento de sobre la seguridad de la información

[17/03/2021] Recientemente la SBS publicó un nuevo Reglamento de Gestión de Seguridad de la Información y Ciberseguridad, un documento que, a grandes rasgos, establece un sistema para gestionar la ciberseguridad. Con el ánimo de explicar lo que implica este reglamento, Marsh, empresa especialista en corretaje de seguros y administración de riesgos, realizó un seminario web en el que algunos de sus ejecutivos mostraron los retos que implica la publicación de este nuevo reglamento.

Edson Villar, líder regional de Consultoría en Riesgo Cibernético para Latinoamérica de Marsh Advisory; Jimmy Condor, consultor senior de Riesgo Cibernético de Marsh Advisory; y Diego Godoy, gerente de Consultoría en Riesgo Cibernético para Latinoamérica de Marsh Advisory, fueron los encargados de realizar el seminario web.

El reglamento

Antes de presentar el reglamento en sí se ofreció un poco de contexto. Villar indicó que, de acuerdo a un estudio conjunto entre Marsh y Microsoft, una de cada tres empresas latinoamericanas percibe un incremento de los ciberataques como consecuencia de la pandemia, siendo la banca la industria que más (52%) ha percibido este incremento, aunque el último de los puestos (transporte, ferroviario y marítimo) no se encontraban tampoco muy lejos de esta cifra (43%).

De acuerdo a ese mismo estudio, el phishing es el tipo de ataque que, se percibe, más se ha incrementado llegando al 29%, seguido del malware (25%) y los ataques a las aplicaciones web (18%), por mencionar a los tres primeros.

De hecho, sostuvo Villar, las entidades financieras son uno de los principales objetivos de los ciberdelincuentes, algo que quedó en evidencia al mostrar la línea de tiempo de muchos de los ataques más significativos que se han realizado en los últimos años, aunque no se mencionaban los nombres de las instituciones por razones obvias.

Dado el contexto, Condor pasó a explicar luego la estructura del nuevo reglamento. Este se divide en tres capítulos, siendo el segundo el más sustancioso pues ahí se encuentra el Sistema de Gestión de Seguridad de la Información y Ciberseguridad (SGSI-C). El primero contiene las disposiciones generales y el tercero las disposiciones complementarias finales.

A su vez, el segundo capítulo se subdivide en seis subcapítulos que contienen el Régimen General (1), la Ciberseguridad (2), la Autenticación (3), la Provisión de Servicios por Terceros (4), el Régimen Simplificado del SGSI-C (5) y el Régimen Reforzado del SGSI-C (6).

En el primer capítulo hay puntos destacables, como el alcance de la norma; es decir, a quiénes está dirigido el reglamento. En este grupo de empresas se encuentran las organizaciones de operaciones múltiples, como las empresas bancarias y financieras; también se encuentran las empresas de servicios complementarios y conexos, como las AFP, los almacenes generales de depósito, las empresas de transporte, custodia y administración de numerario; y finalmente otras instituciones, como el Banco de la Nación, el Banco Agropecuario, Cofide y similares.

Otros puntos interesantes de este capítulo son también el establecimiento de conceptos como el de proporcionalidad, que señala que el SGSI-C de la empresa debe ser proporcional al tamaño, la naturaleza y la complejidad de sus operaciones. Además, en cuanto a los reportes también indica que las empresas deben incluir información sobre la gestión de la seguridad de la información y ciberseguridad como parte de los informes periódicos sobre gestión del riesgo operacional requeridos por el reglamento para la gestión del riesgo operacional.

El sistema

Quizás el capítulo más nutrido es el referente al del sistema. De acuerdo con los ejecutivos de Marsh, establece como objetivos de la organización identificar y analizar las amenazas existentes para reducir las posibilidades de incidentes. También establece como objetivo revisar periódicamente el alcance y la efectividad de los controles mínimos indicados en el Reglamento; y contar con capacidades de detección, respuesta y recuperación relacionados a los planes de continuidad.

En el subcapítulo 1 se establecen medidas mínimas de seguridad de la información como la seguridad de RR.HH.; controles de acceso físico y lógico; seguridad en las operaciones; seguridad en las comunicaciones; adquisición, desarrollo y mantenimiento de los sistemas; gestión de incidentes de ciberseguridad; seguridad física y ambiental; criptografía (en almacenamiento y transmisión); y gestión de activos de información.

En este subcapítulo también se desarrolla el tema de las actividades planificadas.

El subcapítulo 2 trata los temas del programa de ciberseguridad, el reporte de ciberincidentes y el intercambio de información. Aquí es destacable que el reglamento indica que toda empresa que cuente con presencia en el ciberespacio debe mantener, con carácter permanente, un programa de ciberseguridad (PG-C) basado en las cinco funciones de NIST. Asimismo, el reglamento hace hincapié en el reporte de incidentes de ciberseguridad significativos a la SBS.

¿Qué son incidentes significativos? La pérdida o hurto de información de la empresa o de clientes; fraude interno o externo; impacto negativo en la imagen y reputación de la empresa; e interrupción de las operaciones.

El subcapítulo 3 trata los temas de implementación de los procesos de autenticación; la autenticación en canales digitales; y el uso de APIs para la provisión de servicios en línea.

El subcapítulo 4 trata sobre los servicios provistos por terceros, el uso de servicios de nube y los servicios significativos de procesamiento de datos.

Godoy fue el encargado de desarrollar el subcapítulo 5 el cual habla del sistema simplificado de gestión de seguridad de la información y de las condiciones de éste.

Finalmente, el subcapítulo 6 habla sobre los requerimientos adicionales de seguridad.

Dentro de las disposiciones complementarias finales se establece un plan de adecuación que señala que luego de 60 días calendario luego de la publicación del reglamento (24 de febrero) se debe presentar el plan de adecuación aprobado por el directorio. La vigencia del reglamento se inicia el 1 de julio de este año y el plazo de cumplimiento es de un año; es decir, hasta el 1 de julio del 2022.